Поделиться
Порносайты заражают ПК троянами с помощью обычной картинки
На «сайтах для взрослых» теперь можно заразиться трояном Trojan.JS.Likejack, который незаметно для пользователя ставит лайки в Facebook*. Распространяется он через файлы векторных изображений формата SVG.«Заразные» SVG-файлы
Порносайты в интернете под видом изображений в формате SVG раздают вредоносное программное обеспечение, которое тайно ставит лайки в поддержку постов в социальной сети Facebook*. Эксперты из ИБ-компании Malwarebytes насчитали несколько десятков таких веб-ресурсов.
SVG (Scalable Vector Graphics) – формат векторной графики. Современные браузеры, а также некоторые графические редакторы поддерживают этот формат по умолчанию. Веб-обозреватели рассматривают SVG-файлы как стандартный и доверенный веб-контент. В отличие от более распространенных в Сети форматов растровой графики, таких как JPG, PNG или GIF, файлы SVG содержат текстовое описание изображения на языке разметки XML, благодаря чему масштабирование картинки при необходимости выполняется без потери качества.
Помимо XML-кода, SVG-файлы могут содержать код на языках HTML и JavaScript, что позволяет злоумышленникам использовать их в качестве инструмента для осуществления кибератак на ничего не подозревающих пользователей – с использованием технологий межсайтового скриптинга (XSS), HTML-инъекций.
Специалисты Malwarebytes обнаружили несколько порнографических сайтов, распространяющих особым образом подготовленные SVG-файлы. При открытии такого изображения запущенный браузер незаметно для пользователя, но от его имени автоматически ставит лайк сообщению в Facebook*. Сообщения, продвигаемые таким образом, содержат рекламу соответствующего порноресурса, с которого и был загружен «заразный» SVG-файл.
Распознать вредоносный характер такого изображения представляется непростой задачей, даже для опытного пользователя, поскольку исходный код, входящий в его состав и написанный на JavaScript, изменен до неузнаваемости при помощи кастомизированного инструмента обфускации JSFuck.
Открытие такого SVG-файла в операционной системе Microsoft Windows приводит к запуску встроенного в нее браузера Edge с открытой пустой вкладкой, которой присвоено имя Process Monitor, притом даже если браузером по умолчанию в системе является другая программа.
При выполнении скрипт подгружает из Сети дополнительную порцию обфусцированного JavaScript-кода, который, в свою очередь, скачивает с сайта chrammerstein[.]de известный вредоносный сценарий под названием Trojan.JS.Likejack, а уже он скрытно начинает ставить отметки «нравится» под постами в Facebook*, продвигаемыми злоумышленником. Правда, для этого необходимо, чтобы был запущен браузер, в котором открыта вкладка с сайтом социальной сети Марка Цукерберга (Mark Zuckerberg), кроме того, пользователь должен быть на нем авторизован.
Десятки порносайтов замечены за раздачей вредоноса
По словам Питера Арнтца (Pieter Arntz), исследователя из Malwarebytes, несмотря на необходимость соблюдения некоторых условий, схема является рабочей, поскольку многие пользователи держат Facebook* постоянно открытым в браузере.
Специалистам Malwarebytes удалось найти несколько десятков сайтов, распространяющих вредоносные SVG-файлы. Все они в качестве хостинговой площадки используют сервис блогов Google – Blogger (доменная зона blogspot[.]com).
Как отмечает ArsTechnica, администрация Facebook* регулярно блокирует учетные записи, которые продвигают сторонние ресурсы с использованием подобных инструментов «накрутки» лайков. Однако злоумышленники, как правило, оперативно заводят новый аккаунт и продолжают свое дело.
Вектор атаки, набирающий популярность
Формат SVG для доставки вирусов злоумышленники используют уже не первый год. Так, В марте 2024 г. CNews писал о том, что таким образом распространялся вредонос GUIloader, печально знаменитый своей скрытностью и способностью обходить стандартные средства защиты благодаря полиморфному коду и шифрованию.
По словам Ирины Дмитриевой, инженера-аналитика лаборатории исследований кибербезопасности компании «Газинформсервис», с начала 2025 г. наблюдается рост числа атак с использованием SVG. Злоумышленники маскируют вредоносный HTML-код под SVG-изображения. Например, жертве предлагается «прослушать аудиосообщение» или «проверить электронную подпись». При клике по ссылке пользователь попадает на поддельную страницу входа, стилизованную под Google Voice или Microsoft, где и происходит кража учетных данных.
*принадлежит корпорации Meta, которая признана властями РФ экстремистской организацией и запрещена
Короткая ссылка
